Wann brauche ich einen Auftragsverarbeitungsvertrag in der Schweiz?

Einen Auftragsverarbeitungsvertrag Schweiz nach DSG Art. 9 (nDSG, SR 235.1) benötigen Sie immer dann, wenn ein Dritter (Auftragsverarbeiter) Personendaten für Ihr Unternehmen (Verantwortlicher) verarbeitet und dabei nach Ihren Weisungen handelt. Typische Situationen: Sie nutzen ein cloudbasiertes CRM, HR-System, eine Buchhaltungssoftware oder E-Mail-Marketing-Plattform, die Zugriff auf Personendaten Ihrer Kunden oder Mitarbeitenden hat. Sie beauftragen eine Agentur mit E-Mail-Marketing und übergeben ihr Ihre Abonnentenliste. Ein externes Rechenzentrum betreibt Ihre Server. Ein IT-Dienstleister hat Support-Zugriff auf Ihre produktiven Systeme. Seit dem 1. September 2023 (Inkrafttreten des revidierten DSG) ist der Abschluss eines schriftlichen DPA Pflicht. Der EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) kann bei fehlendem DPA Massnahmen anordnen.

Welche Pflichten hat der Auftragsverarbeiter nach DSG Art. 9?

Der Auftragsverarbeiter hat nach DSG Art. 9 (revidiertes Datenschutzgesetz, SR 235.1) folgende Hauptpflichten: Verarbeitung ausschliesslich nach dokumentierten Weisungen des Verantwortlichen; kein eigenmächtiges Handeln zu anderen Zwecken. Sicherstellung, dass alle Personen mit Datenzugang zur Vertraulichkeit verpflichtet sind. Implementierung geeigneter technischer und organisatorischer Massnahmen nach DSG Art. 8 und DSV Art. 1-4 (Verschlüsselung, Zugriffskontrollen, Backup, Sicherheitsaudits). Meldung von Datenpannen an den Verantwortlichen innert 24 Stunden nach Bekanntwerden. Unterstützung des Verantwortlichen bei Betroffenenrechten (Auskunft, Löschung, Portabilität) und bei der DSFA nach DSG Art. 22. Keine Subauftragsverarbeitervergabe ohne Zustimmung des Verantwortlichen. Rückgabe oder Löschung aller Personendaten nach Vertragsende. Bereitstellung aller zur Nachweisführung erforderlichen Informationen und Ermöglichung von Audits.

Gilt der Auftragsverarbeitungsvertrag Schweiz auch für ausländische Anbieter wie AWS oder Microsoft?

Ja, der Auftragsverarbeitungsvertrag Schweiz gilt auch für ausländische Dienstleister wie Amazon Web Services (AWS), Microsoft Azure, Google Cloud, Salesforce oder andere internationale Anbieter, sofern diese Personendaten von Schweizer Kunden im Auftrag eines Schweizer Unternehmens verarbeiten. Das revidierte DSG (SR 235.1) gilt nach dem Marktortprinzip auch für Unternehmen mit Sitz im Ausland, wenn sie Personendaten von Personen in der Schweiz bearbeiten und die Bearbeitung Auswirkungen in der Schweiz hat. AWS, Microsoft und Google bieten für Schweizer Kunden standardisierte DPAs an (Data Processing Addendum), die auf die Anforderungen des nDSG und die parallel geltende DSGVO abgestimmt sind. Für Datentransfers in die USA gelten die Anforderungen von DSG Art. 16 — geeignete Garantien (z.B. EU-Standardvertragsklauseln, die auch für die Schweiz anerkannt werden) müssen im Auftragsverarbeitungsvertrag Schweiz verankert sein.

Was ist der Unterschied zwischen dem Schweizer DSG Art. 9 und DSGVO Art. 28?

DSG Art. 9 (Schweizer nDSG, SR 235.1) und DSGVO Art. 28 (EU-Verordnung 2016/679) regeln die Auftragsverarbeitung inhaltlich sehr ähnlich, da das revidierte DSG stark von der DSGVO inspiriert wurde. Wesentliche Unterschiede: Räumliche Anwendung: Das DSG gilt für Sachverhalte mit Auswirkungen in der Schweiz; die DSGVO gilt für EU-Bürger und Unternehmen mit EU-Niederlassung. Sanktionen: Das DSG richtet sich mit Bussgeldern (bis CHF 250'000.-) an natürliche Personen (Verantwortliche in der Unternehmensleitung), nicht an juristische Personen; die DSGVO richtet sich mit höheren Bussgeldern (bis 4 Prozent des weltweiten Jahresumsatzes oder 20 Mio. EUR) gegen das Unternehmen selbst. Datenschutzbeauftragte: Die DSGVO schreibt unter bestimmten Voraussetzungen einen Datenschutzbeauftragten (DSB) vor; das DSG kennt keinen obligatorischen DSB, empfiehlt aber die Benennung eines Datenschutzberaters. Schweizer Unternehmen, die auch EU-Kundendaten verarbeiten, müssen sowohl DSG Art. 9 als auch DSGVO Art. 28 einhalten.

Muss ich bei jedem Cloud-Dienst einen separaten DPA abschliessen?

Ja, für jeden Cloud-Dienst, der Personendaten verarbeitet, braucht es grundsätzlich einen separaten Auftragsverarbeitungsvertrag Schweiz nach DSG Art. 9. In der Praxis stellen die meisten grossen Cloud-Anbieter (Microsoft, Google, AWS, Salesforce, HubSpot, Mailchimp) standardisierte DPAs bereit, die Sie in der Regel online akzeptieren oder als Dokument unterzeichnen können. Führen Sie ein Verzeichnis aller Auftragsverarbeiter gemäss der Anforderung des DSG zur Rechenschaftspflicht: Anbieter, Dienst, Kategorie bearbeiteter Personendaten, Rechenzentrumsstandort, Datum des DPA, Link zum DPA-Dokument. Dieses Verzeichnis hilft bei EDÖB-Anfragen und internen Datenschutzaudits. Beachten Sie, dass das Verzeichnis der Bearbeitungstätigkeiten nach DSG Art. 12 Abs. 1 ohnehin alle Auftragsverarbeitungsverhältnisse dokumentieren muss.

Was ist eine Datenschutz-Folgenabschätzung (DSFA) und wann ist sie im Kontext des DPA erforderlich?

Eine Datenschutz-Folgenabschätzung (DSFA) nach DSG Art. 22 ist eine systematische Prüfung, ob eine geplante Datenbearbeitung ein hohes Risiko für die Persönlichkeit oder Grundrechte betroffener Personen mit sich bringt. Die DSFA ist vom Verantwortlichen — nicht vom Auftragsverarbeiter — durchzuführen. Sie ist erforderlich bei: systematischer und umfangreicher Auswertung besonders schützenswerter Personendaten, grossem Umfang der Bearbeitung, neuen Technologien (z.B. KI, biometrische Identifikation, Verhaltensanalyse), Überwachung öffentlicher Bereiche. Im Auftragsverarbeitungsvertrag Schweiz muss geregelt sein, dass der Auftragsverarbeiter den Verantwortlichen bei der DSFA unterstützt — durch Bereitstellung von Informationen zu seinen Bearbeitungsprozessen, TOM-Dokumentation und Risikoeinschätzung. Ergibt die DSFA ein hohes Restrisiko, muss nach DSG Art. 23 vor Beginn der Bearbeitung eine Vorabkonsultation beim EDÖB erfolgen. Fehlt im Auftragsverarbeitungsvertrag Schweiz die DSFA-Unterstützungspflicht, können Verantwortliche diese gesetzliche Pflicht nicht erfüllen.

Welche Informationen muss eine Datenpannenmeldung des Auftragsverarbeiters enthalten?

Der Auftragsverarbeiter muss nach DSG Art. 9 (im Auftragsverarbeitungsvertrag Schweiz zu verankern) Datenpannen innert 24 Stunden nach Bekanntwerden dem Verantwortlichen melden. Die Meldung muss folgende Informationen enthalten: Art der Verletzung der Datensicherheit (z.B. unbefugter Zugriff, Datenverlust, Datenverschlüsselung durch Ransomware), Kategorien der betroffenen Personendaten (z.B. Gesundheitsdaten, Kontaktdaten, Zahlungsdaten), ungefähre Anzahl betroffener Datensätze oder Personen, wahrscheinliche Folgen der Verletzung (z.B. Identitätsdiebstahl, finanzielle Schäden), bereits ergriffene und geplante Massnahmen zur Eindämmung und Behebung der Verletzung, Kontaktdaten der Ansprechperson beim Auftragsverarbeiter. Diese Informationen benötigt der Verantwortliche, um seine Meldepflicht an den EDÖB nach DSG Art. 24 Abs. 1 innerhalb von 72 Stunden zu erfüllen und die Meldung an betroffene Personen zu prüfen.

Welche Bussgelder drohen bei Verstössen gegen DSG Art. 9 in der Schweiz?

Vorsätzliche Verstösse gegen das revidierte Datenschutzgesetz (DSG, SR 235.1) können mit Bussgeldern bis CHF 250'000.- geahndet werden. Wichtig: Das Schweizer DSG richtet Bussgelder gegen natürliche Personen (Mitglieder der Unternehmensführung, die für den Verstoss verantwortlich sind), nicht gegen die juristische Person (das Unternehmen selbst) — dies unterscheidet das DSG von der DSGVO. DSG Art. 60 ahndet Verletzungen von Informations-, Auskunfts- und Mitwirkungspflichten. DSG Art. 61 ahndet Verletzungen von Sorgfaltspflichten bei der Bearbeitung von besonders schützenswerten Daten oder bei der Datenbekanntgabe. DSG Art. 63 ahndet Verstösse gegen Anordnungen des EDÖB. Zusätzlich zu Bussgeldern kann der EDÖB nach DSG Art. 51 verbindliche Sachverfügungen erlassen, z.B. die Anordnung zur Beendigung einer rechtswidrigen Bearbeitung oder zur Vernichtung rechtswidrig beschaffter Daten. Schweizer Unternehmen mit Kunden in der EU müssen auch die DSGVO einhalten, bei der Bussgelder bis 4 Prozent des weltweiten Jahresumsatzes oder 20 Mio. EUR betragen.

Auftragsverarbeitungsvertrag (DPA) Schweiz

Auftragsverarbeitungsvertrag (DPA) Schweiz (DSG Art. 9; nDSG 2023)

Vertragsparteien

AUFTRAGSVERARBEITUNGSVERTRAG (DPA)

gemäss DSG Art. 9 (revidiertes Datenschutzgesetz, SR 235.1) zwischen [Verantwortlicher Name] [Verantwortlicher Adresse] Datenschutzkontakt: [Verantwortlicher Kontakt] (nachfolgend Verantwortlicher genannt) und [Verarbeiter Name] [Verarbeiter Adresse] Datenschutzkontakt: [Verarbeiter Kontakt] (nachfolgend Auftragsverarbeiter genannt)

Gegenstand, Zweck und Kategorien der Datenbearbeitung

1. Gegenstand und Zweck Dieser Auftragsverarbeitungsvertrag (DPA) regelt die Verarbeitung von Personendaten im Auftrag des Verantwortlichen durch den Auftragsverarbeiter gemäss DSG Art. 9 (revidiertes Datenschutzgesetz, SR 235.1, in Kraft seit 1. September 2023). Zweck der Auftragsverarbeitung: [Bearbeitungszweck].

2. Kategorien der Datenbearbeitung Bearbeitete Datenkategorien: [Datenkategorien]. Besonders schützenswerte Personendaten nach DSG Art. 5 lit. c: [Besondere Kategorien]. Kategorien betroffener Personen: [Betroffene Personen]. Die Datenbearbeitung erfolgt ausschliesslich auf dokumentierte Weisung des Verantwortlichen. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Ansicht ist, dass eine Weisung gegen DSG, DSV (Datenschutzverordnung, SR 235.11) oder andere anwendbare Datenschutzgesetze verstösst.

Pflichten des Auftragsverarbeiters

3. Weisungsgebundenheit und Bearbeitungsgrundsätze Der Auftragsverarbeiter bearbeitet Personendaten ausschliesslich gemäss den Bearbeitungsgrundsätzen nach DSG Art. 6 (Rechtmässigkeit, Treu und Glauben, Verhältnismässigkeit, Zweckbindung, Richtigkeit, Datensicherheit). Eigenständige Bearbeitungen zu anderen Zwecken sind ohne ausdrückliche schriftliche Weisung des Verantwortlichen untersagt. Der Auftragsverarbeiter gewährleistet, dass alle zur Bearbeitung befugten Personen zur Vertraulichkeit verpflichtet sind (Vertraulichkeitspflicht nach DSG Art. 9 Abs. 2 lit. a).

4. Technische und organisatorische Massnahmen (TOM) Der Auftragsverarbeiter implementiert gemäss DSG Art. 8 und DSV Art. 1-4 angemessene technische und organisatorische Massnahmen zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus: Pseudonymisierung und Verschlüsselung von Personendaten, Sicherstellung der dauerhaften Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme, rasches Wiederherstellen nach physischen oder technischen Zwischenfällen, regelmässige Tests, Beurteilungen und Auswertungen der TOM-Wirksamkeit.

5. Datenpannenmeldung nach DSG Art. 24 Bei einer Verletzung der Datensicherheit (Datenpanne nach DSG Art. 24) meldet der Auftragsverarbeiter diese unverzüglich, spätestens innert 24 Stunden nach Kenntnisnahme, an den Verantwortlichen. Die Meldung enthält: Art der Verletzung, betroffene Datenkategorien und Personenanzahl, wahrscheinliche Folgen, ergriffene und geplante Massnahmen. Damit kann der Verantwortliche die 72-Stunden-Meldefrist an den EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) nach DSG Art. 24 Abs. 1 einhalten. Der EDÖB entscheidet, ob eine Meldepflicht an die betroffenen Personen besteht.

6. Datenschutz-Folgenabschätzung (DSFA) Bei Bearbeitungen mit hohem Risiko für die Persönlichkeit oder Grundrechte betroffener Personen führt der Verantwortliche gemäss DSG Art. 22 eine Datenschutz-Folgenabschätzung (DSFA) durch. Der Auftragsverarbeiter unterstützt den Verantwortlichen dabei mit allen erforderlichen Informationen und gibt auf Anfrage Einsicht in seine TOM-Dokumentation. Eine Vorabkonsultation beim EDÖB nach DSG Art. 23 erfolgt, wenn die DSFA ein hohes Restrisiko ergibt.

Datentransfer, Subauftragsverarbeiter und Betroffenenrechte

7. Datentransfer und Auslandsbearbeitung Ort der Datenspeicherung und -verarbeitung: [Daten Speicher Ort]. Datenübermittlungen in Drittstaaten ohne angemessenes Schutzniveau (Länder ohne Angemessenheitsentscheid des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten) erfolgen nur auf Basis geeigneter Garantien gemäss DSG Art. 16 Abs. 2, namentlich Standardvertragsklauseln der Europäischen Kommission (Beschluss 2021/914) oder bilaterale Datenschutzabkommen. Für Kunden in der EU/EWR gelten zusätzlich DSGVO Art. 28 und Art. 46.

8. Subauftragsverarbeiter Einsatz von Subauftragsverarbeitern: [Subverarbeiter]. Jeder Subauftragsverarbeiter wird durch schriftlichen Vertrag verpflichtet, mindestens gleichwertige Datenschutzpflichten einzuhalten wie in diesem DPA vereinbart. Der Auftragsverarbeiter haftet dem Verantwortlichen gegenüber für die ordnungsgemässe Erfüllung der Pflichten durch seine Subauftragsverarbeiter wie für eigenes Handeln.

9. Unterstützung bei Betroffenenrechten Der Auftragsverarbeiter unterstützt den Verantwortlichen nach DSG Art. 25-28 (Auskunftsrecht, Recht auf Berichtigung, Löschung, Einschränkung der Bearbeitung, Datenportabilität) durch geeignete technische und organisatorische Massnahmen. Anfragen betroffener Personen leitet der Auftragsverarbeiter unverzüglich an den Verantwortlichen weiter. Der Auftragsverarbeiter bearbeitet Personendaten nach Vertragsende oder auf Weisung des Verantwortlichen zurück oder löscht sie und bestätigt die vollständige Löschung schriftlich.

Aufsicht, Nachweispflicht und Schlussbestimmungen

10. Nachweispflicht und Auditrecht Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zur Verfügung, um die Einhaltung der Pflichten aus diesem Vertrag und aus DSG Art. 9 nachzuweisen, und ermöglicht Audits durch den Verantwortlichen oder von ihm beauftragte Prüfer (höchstens einmal jährlich, mit mindestens 14 Tagen Vorankündigung). Auditergebnisse sind als vertraulich zu behandeln. Der EDÖB ist als Aufsichtsbehörde berechtigt, Kontrollen gemäss DSG Art. 49 durchzuführen.

11. Laufzeit, Kündigung und anwendbares Recht Dieser DPA läuft parallel zum zugrunde liegenden Hauptvertrag. Er endet automatisch mit Beendigung des Hauptvertrags. Der Auftragsverarbeiter verpflichtet sich, nach Vertragsende alle Personendaten des Verantwortlichen zurückzugeben oder zu löschen und die vollständige Datenlöschung schriftlich zu bestätigen, sofern keine gesetzliche Aufbewahrungspflicht besteht. Anwendbares Recht: Schweizerisches Recht, insbesondere DSG (SR 235.1) und DSV (SR 235.11). Gerichtsstand: [Unterzeichnungsort]. Zuständige Aufsichtsbehörde: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB), Feldeggweg 1, 3003 Bern. Ort und Datum: [Unterzeichnungsort], [Unterzeichnungsdatum]

Verantwortlicher (Controller)

________________

Signature

Auftragsverarbeiter (Processor)

________________

Signature

Betreut von Vladislav Sergienko, Gründer·Vorlage zuletzt geändert: 2026-06-23·Fehler melden

Was ist Auftragsverarbeitungsvertrag (DPA) Schweiz?

Der Auftragsverarbeitungsvertrag (DPA) ist ein in der Schweiz nach Revidiertes Datenschutzgesetz (DSG, SR 235.1, in Kraft seit 1.9.2023) Art. 9 (Auftragsverarbeitung), Art. 6, 8, 16, 22-28 geregeltes rechtsverbindliches schriftliches Dokument. Er regelt die Pflichten der Parteien, die Gegenleistung, die Laufzeit und die Rechte bei Pflichtverletzung.

Der Auftragsverarbeitungsvertrag Schweiz unterscheidet zwischen dem Verantwortlichen (Controller) — der Person oder Organisation, die Zweck und Mittel der Datenbearbeitung bestimmt (DSG Art. 5 lit. j) — und dem Auftragsverarbeiter (Processor) — der Person oder Organisation, die Personendaten im Auftrag des Verantwortlichen bearbeitet (DSG Art. 5 lit. k). Typische Auftragsverarbeitungsverhältnisse in der Schweiz: Ein Unternehmen (Verantwortlicher) nutzt eine cloudbasierte Lohnbuchhaltungssoftware (Auftragsverarbeiter). Eine Arztpraxis überträgt Patientendaten an ein externes Archivierungsunternehmen. Ein Onlineshop nutzt externe Zahlungsdienstleister (Stripe, Datatrans) für Kreditkartenzahlungen. Ein KMU nutzt Google Workspace oder Microsoft 365 für E-Mail und Dokumentenverwaltung.

Die wichtigsten Neuerungen des revidierten DSG für den Auftragsverarbeitungsvertrag Schweiz im Vergleich zum alten DSG von 1992: Erstmals explizite gesetzliche Verankerung der Auftragsverarbeitungspflichten in DSG Art. 9. Ausdrückliche Pflicht zur schriftlichen Beauftragung des Auftragsverarbeiters (DSG Art. 9 Abs. 1). Pflicht zur Sicherstellung, dass der Auftragsverarbeiter geeignete technische und organisatorische Massnahmen (TOM) nach DSG Art. 8 und DSV Art. 1-4 trifft. Meldepflicht bei Verletzungen der Datensicherheit (Datenpannen) an den Verantwortlichen innert 24 Stunden. Pflicht zur Vorabkonsultation beim EDÖB bei Hochrisiko-Bearbeitungen nach DSG Art. 23. Erweiterter Auskunftsanspruch betroffener Personen nach DSG Art. 25.

Für Unternehmen, die Personendaten von EU-Bürgern bearbeiten oder einen Auftrag von einem EU-Unternehmen erhalten, gilt zusätzlich die DSGVO. DSGVO Art. 28 definiert weitgehend identische Anforderungen an den Auftragsverarbeitungsvertrag wie DSG Art. 9 — sodass ein gut ausgearbeiteter Auftragsverarbeitungsvertrag Schweiz in der Regel auch den DSGVO-Anforderungen genügt. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) — mit Sitz in Bern, Feldeggweg 1 — ist die zuständige Aufsichtsbehörde für den Vollzug des DSG. Bussgelder nach DSG Art. 60-66 betragen bis CHF 250'000.- bei Vorsatz und richten sich gegen natürliche Personen in der Unternehmensführung, nicht gegen die juristische Person selbst — dies unterscheidet das Schweizer DSG vom DSGVO-Regime der EU. Gemäss EDÖB-Statistik 2023/2024 haben die Anfragen und Meldungen nach Inkrafttreten des nDSG erheblich zugenommen, was die Relevanz eines rechtssicheren Auftragsverarbeitungsvertrags Schweiz unterstreicht.

Wann brauchen Sie Auftragsverarbeitungsvertrag (DPA) Schweiz?

Der Auftragsverarbeitungsvertrag Schweiz ist abzuschliessen, sobald ein Dritter Personendaten für ein Unternehmen bearbeitet:

Erste Situation: Cloud-Dienste und SaaS-Anwendungen. Jedes Mal, wenn ein Schweizer Unternehmen einen cloudbasierten Dienst nutzt, der Zugriff auf Personendaten hat, braucht es einen Auftragsverarbeitungsvertrag Schweiz nach DSG Art. 9 (nDSG, SR 235.1). Dazu gehören Office-365 und Google Workspace (E-Mail, Dokumente mit Personendaten), CRM-Systeme (Salesforce, HubSpot), HR-Systeme (Personio, SAP SuccessFactors), Lohnbuchhaltungssoftware (Abacus, Sage), Videokonferenz-Tools (Zoom, Teams) mit Meeting-Aufzeichnungen, E-Mail-Marketing-Plattformen (Mailchimp, HubSpot Marketing). Ohne Auftragsverarbeitungsvertrag Schweiz verstösst das Unternehmen als Verantwortlicher gegen DSG Art. 9 — selbst wenn der SaaS-Anbieter technisch einwandfreien Datenschutz gewährleistet.

Zweite Situation: Outsourcing von IT und Rechenzentrumsbetrieb. Betreibt ein externes IT-Unternehmen die Server und Netzwerkinfrastruktur eines Schweizer Unternehmens und hat dabei Zugriff auf Systeme mit Personendaten, liegt ein Auftragsverarbeitungsverhältnis nach DSG Art. 9 vor. Der Auftragsverarbeitungsvertrag Schweiz muss abgeschlossen werden, bevor der IT-Dienstleister Zugriff auf Personendaten erhält. Eine rückwirkende Nacherfassung des DPA reicht nicht aus, wenn in der Zwischenzeit eine Datenpanne aufgetreten ist.

Dritte Situation: Externe Lohnverarbeitung und Buchhaltung. Übergibt ein Unternehmen die Lohnverarbeitung an ein externes Treuhandbüro oder eine Buchhaltungsgesellschaft, verarbeitet dieses Drittunternehmen schützenswerte Personendaten der Mitarbeitenden (Lohnhöhe, Sozialversicherungsnummer AHV, IBAN-Bankverbindung, Abwesenheiten, Kinderzulagen). Gemäss DSG Art. 5 lit. c sind Lohndaten als schützenswerte Personendaten zu qualifizieren, wenn sie Rückschlüsse auf wirtschaftliche Verhältnisse erlauben. Ein Auftragsverarbeitungsvertrag Schweiz ist zwingend, bevor die erste Lohnabrechnung an das Treuhandbüro übergeben wird.

Vierte Situation: Marketing- und CRM-Agenturen. Beauftragt ein Unternehmen eine Marketingagentur mit E-Mail-Marketing, Zielgruppenanalyse, Retargeting oder Lead-Generierung und übergibt ihr Kundendaten oder Abonnentenlisten, verarbeitet die Agentur diese Personendaten im Auftrag. Der Auftragsverarbeitungsvertrag Schweiz regelt Umfang (welche Datenkategorien), Sicherheit (technische Massnahmen) und das Ende der Bearbeitung (Löschung nach Kampagnenende). EDÖB-Empfehlung: Marketingdaten sollten nur so lange durch Dritte bearbeitet werden, wie die Kampagne aktiv ist.

Fünfte Situation: Sicherheitsdienstleister mit Personenbezug. Biometrische Zutrittssysteme, Videoüberwachungsanlagen und Sicherheitsdienste, die Personendaten (Kameradaten, biometrische Zugangsdaten) für ein Unternehmen verarbeiten, erfordern einen Auftragsverarbeitungsvertrag Schweiz. Biometrische Daten und Videoüberwachungsdaten sind besonders schützenswerte Personendaten nach DSG Art. 5 lit. c — erhöhte Sicherheitsanforderungen und eine Datenschutz-Folgenabschätzung (DSFA) nach DSG Art. 22 sind häufig zwingend erforderlich. Kantonale Datenschutzbehörden können für Videoüberwachung an öffentlich zugänglichen Orten zusätzliche Bewilligungspflichten auferlegen.

Sechste Situation: Gesundheits- und Sozialwesen. Spitäler, Arztpraxen, Kitas und Sozialinstitutionen, die externe Dienstleister (z.B. für elektronische Patientenakten, Abrechnungsdienste, Telediagnostik) einsetzen, müssen einen Auftragsverarbeitungsvertrag Schweiz abschliessen. Gesundheitsdaten sind nach DSG Art. 5 lit. c besonders schützenswert. Zusätzlich gelten kantonale Datenschutzgesetze und Spitalgesetze sowie berufsrechtliche Geheimhaltungspflichten nach MedBG (SR 811.11) und ZGB Art. 28.

Was gehört in Ihr Auftragsverarbeitungsvertrag (DPA) Schweiz?

Ein wirksamer Auftragsverarbeitungsvertrag Schweiz nach DSG Art. 9 muss folgende Kernelemente enthalten:

Beschreibung der Datenbearbeitung: Der Auftragsverarbeitungsvertrag Schweiz muss den Gegenstand, die Dauer, die Art und den Zweck der Bearbeitung, die Art der Personendaten sowie die Kategorien betroffener Personen beschreiben (DSG Art. 9 Abs. 1). Für besonders schützenswerte Personendaten nach DSG Art. 5 lit. c (Gesundheitsdaten, biometrische Daten, genetische Daten, Daten über religiöse oder politische Ansichten, Strafregisterdaten, Betreibungsdaten) gelten erhöhte Anforderungen und in vielen Fällen ist eine DSFA nach DSG Art. 22 zwingend.

Weisungsgebundenheit: Der Auftragsverarbeiter darf Personendaten ausschliesslich auf dokumentierte Weisung des Verantwortlichen bearbeiten (DSG Art. 9 Abs. 2 lit. b). Eigenständige Bearbeitungen zu anderen Zwecken sind verboten. Der Auftragsverarbeiter muss den Verantwortlichen informieren, wenn er eine Weisung für rechtswidrig hält (DSG Art. 9 Abs. 2 lit. b). Weisungen sollten schriftlich oder in dokumentierter elektronischer Form erteilt werden.

Technische und organisatorische Massnahmen (TOM): Der Auftragsverarbeitungsvertrag Schweiz muss geeignete TOM nach DSG Art. 8 und DSV Art. 1-4 verpflichten: Pseudonymisierung und Verschlüsselung (AES-256 oder gleichwertig), Gewährleistung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme, rasche Wiederherstellungsfähigkeit nach Zwischenfällen (Recovery Time Objective, RTO), regelmässige Tests und Evaluierungen der TOM, Zugriffskontrollen nach Least-Privilege-Prinzip. Die Massnahmen müssen dem Risiko der Bearbeitung angemessen sein.

Vertraulichkeitsverpflichtung: Alle Personen, die Zugang zu den Personendaten haben, müssen zur Vertraulichkeit verpflichtet werden (DSG Art. 9 Abs. 2 lit. a). Dies gilt für Mitarbeitende, Freiberufler und sonstige Beauftragte des Auftragsverarbeiters. Verpflichtungserklärungen sollten schriftlich eingeholt und dem Verantwortlichen auf Anfrage vorgelegt werden können.

Subauftragsverarbeiter-Regelung: Der Einsatz von Subauftragsverarbeitern bedarf der Zustimmung des Verantwortlichen (DSG Art. 9 Abs. 2 lit. d). Der Auftragsverarbeiter muss Subauftragsverarbeitern dieselben Datenschutzpflichten auferlegen wie ihm selbst. Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen für die Einhaltung durch seine Subauftragsverarbeiter. Eine aktuelle Liste aller Subauftragsverarbeiter mit Rechenzentrumsstandort ist dem Auftragsverarbeitungsvertrag Schweiz als Anhang beizufügen.

Unterstützung bei Betroffenenrechten: Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von Betroffenenrechten nach DSG Art. 25-28 (Auskunftsrecht, Recht auf Berichtigung, Löschung, Einschränkung der Bearbeitung, Datenportabilität) und bei Datenschutz-Folgenabschätzungen (DSFA) nach DSG Art. 22. Die Unterstützungspflicht umfasst die Bereitstellung von Informationen zu Bearbeitungsprozessen, TOM-Dokumentation und Risikoeinschätzungen innerhalb von 10 Arbeitstagen.

Datenpannenmeldung: Der Auftragsverarbeiter meldet Verletzungen der Datensicherheit dem Verantwortlichen innert 24 Stunden nach Bekanntwerden, damit dieser die Meldepflicht an den EDÖB nach DSG Art. 24 fristgerecht erfüllen kann (72 Stunden). Die Meldung enthält: Art der Verletzung, betroffene Datenkategorien, Personenanzahl, wahrscheinliche Folgen, ergriffene Massnahmen, Kontaktperson beim Auftragsverarbeiter.

Auditrecht und Nachweispflicht: Der Verantwortliche hat das Recht auf Audits beim Auftragsverarbeiter (mindestens einmal jährlich, alternativ Zertifizierungsnachweis ISO 27001 oder SOC 2 Typ II). Der Auftragsverarbeiter stellt alle zur Nachweisführung erforderlichen Informationen bereit. forms-legal.com stellt den vollständigen DPA Schweiz als kostenlose Mustervorlage zur Verfügung.

So füllen Sie Ihr Auftragsverarbeitungsvertrag (DPA) Schweiz aus

Das korrekte Ausfüllen des Auftragsverarbeitungsvertrags Schweiz erfordert folgende Schritte:

Schritt 1 - Identifikation des Auftragsverarbeitungsverhältnisses. Prüfen Sie zunächst, ob tatsächlich ein Auftragsverarbeitungsverhältnis nach DSG Art. 9 vorliegt: Handelt der Dritte nach Weisungen des Unternehmens und ausschliesslich für dessen Zwecke? Dann ist er Auftragsverarbeiter. Hat der Dritte eigene Zwecke und entscheidet selbst über die Mittel der Bearbeitung? Dann ist er selbst Verantwortlicher oder gemeinsam Verantwortlicher (sog. Joint Controller nach DSG Art. 12 Abs. 3). Die Abgrenzung ist für die Anwendbarkeit des Auftragsverarbeitungsvertrags Schweiz entscheidend. Für Joint-Controller-Verhältnisse ist stattdessen eine gesonderte Vereinbarung nach DSG Art. 12 Abs. 3 erforderlich.

Schritt 2 - Beschreibung der Datenbearbeitung. Dokumentieren Sie präzise: Welche Personendaten werden bearbeitet (Kontaktdaten, Transaktionsdaten, Gesundheitsdaten, biometrische Daten)? Welche Kategorien betroffener Personen sind betroffen (Kunden, Mitarbeitende, Lieferanten)? Was ist der Zweck der Bearbeitung (Lohnverarbeitung, CRM, Archivierung)? Wie lange werden die Daten bearbeitet? Diese Angaben sind Pflichtinhalt nach DSG Art. 9 Abs. 1. Nutzen Sie das Verzeichnis der Bearbeitungstätigkeiten nach DSG Art. 12 als Ausgangsbasis für die Beschreibung im Auftragsverarbeitungsvertrag Schweiz.

Schritt 3 - Prüfung auf besonders schützenswerte Personendaten. Ermitteln Sie, ob besonders schützenswerte Personendaten nach DSG Art. 5 lit. c bearbeitet werden: Gesundheitsdaten, genetische Daten, biometrische Daten, Daten über religiöse oder weltanschauliche Ansichten, Daten über politische Meinungen, Strafregister- und Betreibungsdaten. Bei solchen Daten sind erhöhte Sicherheitsmassnahmen (z.B. Ende-zu-Ende-Verschlüsselung, strikte Zugriffsbeschränkung) im Auftragsverarbeitungsvertrag Schweiz zu vereinbaren und eine DSFA nach DSG Art. 22 ist häufig zwingend erforderlich.

Schritt 4 - Festlegung von Rechenzentrum und Datentransferregelungen. Bestimmen Sie im Auftragsverarbeitungsvertrag Schweiz, wo die Daten gespeichert und verarbeitet werden. Bei Verarbeitung ausserhalb der Schweiz: Prüfen Sie, ob das Empfängerland ein angemessenes Datenschutzniveau nach DSG Art. 16 Abs. 1 bietet (Liste des EDÖB unter edoeb.admin.ch). Falls nicht: Vereinbaren Sie geeignete Garantien nach DSG Art. 16 Abs. 2, insbesondere Standardvertragsklauseln der EU-Kommission (Beschluss 2021/914) oder äquivalente Schweizer Instrumente. Für die USA: Das EU-US Data Privacy Framework und der Swiss-US Privacy Framework bieten eine anerkannte Rechtsgrundlage.

Schritt 5 - Subauftragsverarbeiter identifizieren und genehmigen. Erfassen Sie alle Subauftragsverarbeiter: Rechenzentrum-Anbieter (z.B. AWS eu-central-1, Azure West Europe, Google Cloud europe-west6 Zürich), Subdienstleister, Drittanbieter-APIs. Holen Sie die Zustimmung des Verantwortlichen ein und stellen Sie sicher, dass alle Subauftragsverarbeiter denselben Datenschutzpflichten unterliegen wie der Auftragsverarbeiter selbst. Führen Sie eine aktualisierte Liste der genehmigten Subauftragsverarbeiter als Anhang zum Auftragsverarbeitungsvertrag Schweiz und informieren Sie den Verantwortlichen bei Änderungen mindestens 30 Tage im Voraus.

Schritt 6 - Datenpannen-Meldeverfahren etablieren. Definieren Sie klare Meldeverfahren bei Datenpannen: Innert 24 Stunden nach Bekanntwerden Meldung an den Verantwortlichen (per E-Mail an benannte Ansprechperson oder via Ticketing-System), mit Angabe von Art der Verletzung, betroffenen Datenkategorien, Personenanzahl, wahrscheinlichen Folgen und ergriffenen Sofortmassnahmen. Der Verantwortliche hat nach DSG Art. 24 Abs. 1 eine 72-Stunden-Frist zur Meldung an den EDÖB, wenn die Datenpanne voraussichtlich zu einem hohen Risiko für betroffene Personen führt. Definieren Sie eine Notfall-Kontaktkette für ausserhalb der Bürozeiten.

Rechtliche Anforderungen für Auftragsverarbeitungsvertrag (DPA) Schweiz

Der Auftragsverarbeitungsvertrag Schweiz muss den folgenden zwingenden Anforderungen entsprechen:

DSG Art. 9 - Auftragsverarbeitung. DSG Art. 9 schreibt zwingend vor: Der Auftragsverarbeiter darf Personendaten nur auf Weisung des Verantwortlichen bearbeiten. Der Auftragsverarbeitungsvertrag Schweiz muss schriftlich oder in einem anderen gleichwertigen elektronischen Format abgeschlossen werden. Er muss regeln: Gegenstand und Dauer der Bearbeitung, Art und Zweck der Bearbeitung, Art der Personendaten, Kategorien betroffener Personen, Pflichten und Rechte des Verantwortlichen. Ohne DSG-konformen DPA verletzt der Verantwortliche seine Pflichten nach DSG Art. 9, was zu Massnahmen des EDÖB nach DSG Art. 49-51 führen kann, darunter verbindliche Verfügungen zur Beendigung der Bearbeitung.

DSG Art. 8 und DSV Art. 1-4 - Datensicherheit. Der Auftragsverarbeiter ist nach DSG Art. 8 verpflichtet, durch geeignete TOM die Sicherheit der Personendaten zu gewährleisten. Die Datenschutzverordnung (DSV, SR 235.11) konkretisiert in Art. 1-4 die Anforderungen: Aufzeichnung der Bearbeitungstätigkeit, besondere Sorgfalt bei der Bearbeitung durch technische Systeme (z.B. automatisierte Profilerstellung), Massnahmen zur Gewährleistung von Vertraulichkeit, Integrität und Verfügbarkeit. Der EDÖB hat in Leitlinien konkretisiert, was als «angemessene» Massnahmen gilt: ISO 27001-Zertifizierung ist ein anerkannter Nachweis.

DSG Art. 16 - Datenübermittlung ins Ausland. Personendaten dürfen an Empfänger in einem Drittstaat (ausserhalb Schweiz, EU/EWR) nur übermittelt werden, wenn der betreffende Staat ein angemessenes Datenschutzniveau gewährleistet (Liste des EDÖB) oder geeignete Garantien bestehen (DSG Art. 16 Abs. 2): Standardvertragsklauseln der EU-Kommission oder äquivalente Schweizer Instrumente, verbindliche interne Datenschutzvorschriften (BCR), genehmigter Verhaltenskodex, Swiss-US Privacy Framework für USA. Ohne geeignete Grundlage ist die Übermittlung nach DSG Art. 16 Abs. 1 unzulässig.

DSG Art. 22-24 - DSFA und Datenpannen. Bei Bearbeitungen mit hohem Risiko ist eine DSFA nach DSG Art. 22 durch den Verantwortlichen durchzuführen. Der Auftragsverarbeitungsvertrag Schweiz muss die Unterstützungspflicht des Auftragsverarbeiters regeln. Datenpannen sind nach DSG Art. 24 dem EDÖB innert 72 Stunden zu melden, wenn voraussichtlich ein hohes Risiko für betroffene Personen besteht. Betroffene Personen sind nach DSG Art. 24 Abs. 4 zu benachrichtigen, wenn es zum Schutz ihrer Interessen erforderlich ist.

DSG Art. 60-66 - Sanktionen. Vorsätzliche Verstösse gegen DSG-Pflichten können mit Bussgeldern bis CHF 250'000.- geahndet werden. Bussgelder richten sich gegen natürliche Personen (Mitglieder der Unternehmensleitung, die für den Verstoss verantwortlich sind), nicht gegen juristische Personen — dies unterscheidet das Schweizer DSG wesentlich vom DSGVO-Regime, bei dem Bussgelder bis 4 Prozent des weltweiten Jahresumsatzes oder 20 Mio. EUR gegen das Unternehmen verhängt werden können. Schweizer Unternehmen mit EU-Kundendaten müssen beide Regimes einhalten. Bei Verstössen durch Unternehmen bis 50 Mitarbeitende kann der EDÖB nach DSG Art. 49 Abs. 3 von einer Strafverfolgung absehen, wenn das Unternehmen die notwendigen Massnahmen zur Behebung des Verstosses unverzüglich einleitet und vollständig kooperiert — ein wichtiger Anreiz, Datenschutzmängel proaktiv zu adressieren.

Häufige Fehler bei Ihrem Auftragsverarbeitungsvertrag (DPA) Schweiz

Die häufigsten Fehler beim Auftragsverarbeitungsvertrag Schweiz führen zu Datenschutzverletzungen oder rechtlicher Unsicherheit:

Fehler 1 - Kein DPA vor Aufnahme der Datenbearbeitung. Der häufigste Fehler ist der fehlende Abschluss des Auftragsverarbeitungsvertrags Schweiz vor Aufnahme der Datenbearbeitung. In der Praxis wird oft vergessen, für etablierte Dienste (Google Workspace, Microsoft 365, Dropbox) einen formellen DPA abzuschliessen — obwohl alle diese Anbieter DPAs für Schweizer Kunden bereitstellen. Ohne DPA verletzt das Unternehmen DSG Art. 9, selbst wenn die technischen Sicherheitsmassnahmen des Anbieters einwandfrei sind. forms-legal.com stellt eine nDSG-konforme Mustervorlage bereit, die als Verhandlungsgrundlage genutzt werden kann.

Fehler 2 - Vergessen der Subauftragsverarbeiter. Viele Auftragsverarbeitungsverträge Schweiz regeln nur die direkte Beziehung zwischen Verantwortlichem und Auftragsverarbeiter, vergessen aber die Subauftragsverarbeiterkette. Ein Cloud-SaaS-Anbieter nutzt typischerweise AWS, Azure oder Google Cloud als Rechenzentrum — diese sind Subauftragsverarbeiter. Ohne deren Erfassung im DPA fehlt ein wesentliches Element nach DSG Art. 9 Abs. 2 lit. d. Verlangen Sie eine vollständige Subverarbeiterliste (mit Standort und Rechtsgrundlage für Datentransfer) und aktualisierte Benachrichtigung bei Änderungen mit mindestens 30 Tagen Vorlaufzeit und Sonderkündigungsrecht.

Fehler 3 - Unzureichende Datenpannen-Regelung. Viele Auftragsverarbeitungsverträge Schweiz enthalten zwar eine Meldepflicht bei Datenpannen, lassen aber die konkrete Umsetzung offen: Wie erfolgt die Meldung (E-Mail? Ticketing-System? Telefonisch)? Wer ist Ansprechpartner auch ausserhalb der Bürozeiten? Welche Informationen muss die Meldung enthalten? Ohne klare Regelung verzögert sich die Meldekette und der Verantwortliche kann die 72-Stunden-Meldefrist an den EDÖB nach DSG Art. 24 nicht einhalten. Definieren Sie eine 24-Stunden-Meldepflicht mit konkreter Meldekette und vorgegebenem Mindestinhalt der Erstmeldung.

Fehler 4 - Fehlendes Auditrecht. Ohne explizite Auditklausel im Auftragsverarbeitungsvertrag Schweiz hat der Verantwortliche keinen vertraglichen Anspruch auf Prüfung der Datenschutzmassnahmen des Auftragsverarbeiters. Der EDÖB erwartet, dass Verantwortliche die Einhaltung der Pflichten ihrer Auftragsverarbeiter regelmässig kontrollieren. Vereinbaren Sie: mindestens ein jährliches Audit (oder Vorlage eines aktuellen ISO 27001-Zertifikats oder SOC 2 Typ II-Berichts) mit schriftlicher Ankündigung 14 Tage im Voraus, Vertraulichkeit der Auditergebnisse, Recht auf unangemeldete Audits bei begründetem Verdacht auf Datenschutzverletzung.

Fehler 5 - Unzureichende Regelung der Datenrückgabe und -löschung. Nach Beendigung des Auftragsverarbeitungsvertrags Schweiz sind alle Personendaten zurückzugeben oder zu löschen. Ohne präzise Regelung entstehen Streitigkeiten über Format und Frist der Rückgabe, Nachweis der vollständigen Löschung und Umgang mit Datenkopien in Backup-Systemen. Vereinbaren Sie: Export-Format (CSV, JSON, XML), Exportfrist (30 Tage nach Vertragsende), schriftliche Löschbestätigung mit Angabe der gelöschten Systeme, explizite Regelung für Backup-Daten (nach 90 Tagen auch aus allen Backups gelöscht). Ohne diese Regelung sind Backup-Daten häufig für Monate oder Jahre beim Auftragsverarbeiter gespeichert — was DSG Art. 9 Abs. 2 lit. g widerspricht.

Fehler 6 - Fehlende Datentransfer-Regelung für Cloudanbieter. Viele Unternehmen vergessen zu prüfen, ob ihr Auftragsverarbeiter Daten an Rechenzentren im Drittland (z.B. USA) weitergibt. Ohne geeignete Garantien nach DSG Art. 16 Abs. 2 (EU-Standardvertragsklauseln, Swiss-US Privacy Framework) ist diese Übermittlung rechtswidrig. Verlangen Sie im Auftragsverarbeitungsvertrag Schweiz eine vollständige Offenlegung aller Drittlandtransfers und der jeweiligen Rechtsgrundlage.

Quellen und Zitate

Gesetzliche Zitate verlinken auf offizielle Regierungsquellen.

ZGB Art. 28CH official

Diese Seite zitieren

Verweisen Sie auf diese kostenlose Vorlage in einem Artikel, Lehrplan oder Forschungsbericht:

APA

Forms Legal. (2026). Auftragsverarbeitungsvertrag (DPA) Schweiz (Schweiz) [Legal document template]. Forms Legal. https://forms-legal.com/de/switzerland/business/contracts/auftragsverarbeitungsvertrag-dpa-schweiz

MLA

"Auftragsverarbeitungsvertrag (DPA) Schweiz (Schweiz)." Forms Legal, 2026, https://forms-legal.com/de/switzerland/business/contracts/auftragsverarbeitungsvertrag-dpa-schweiz.

BibTeX

@misc{formslegal-auftragsverarbeitungsvertrag-dpa-schweiz,
  author       = {{Forms Legal}},
  title        = {Auftragsverarbeitungsvertrag (DPA) Schweiz (Schweiz)},
  year         = {2026},
  howpublished = {\url{https://forms-legal.com/de/switzerland/business/contracts/auftragsverarbeitungsvertrag-dpa-schweiz}},
  note         = {Free legal document template}
}

Häufig gestellte Fragen

Gesetzesreferenzierte Vorlage — Vorlage zuletzt geändert Juni 2026

Diese Vorlage dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar. Gesetze sind je nach Rechtsordnung unterschiedlich und ändern sich im Laufe der Zeit. Konsultieren Sie für Ihren konkreten Fall einen qualifizierten Rechtsanwalt.Vollständiger Haftungsausschluss

Fehler gefunden? Sagen Sie uns Bescheid